Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

12. Innebygget personvern

Virksomheten skal sørge for innebygd personvern i systemer som brukes til behandling av personopplysninger. Virksomheten må ta hensyn personvern når den velger system og leverandør av slike systemer.

Virksomheten må for eksempel sørge for at systemer den anskaffer og/eller utvikler har funksjonalitet for innsyn, retting, sletting og tiltak for dataminimering i tråd med regelverket. 

Systemer som brukes i helsesektoren kan være underlagt krav fra både helselovgivningen og personvernlovgivningen. For eksempel må behandlingsrettede helseregistre utformes slik at de understøtter pasientforløpet under helsehjelpen, og slik at krav som

helsepersonelloven og pasientjournalloven retter mot virksomhetene og helsepersonell kan ivaretas. Blant annet må systemet være egnet til å ivareta eller understøtte helsepersonellets taushetsplikt, pasientens rett til informasjon og innsyn, helsepersonellets dokumentasjonsplikt og kravene til informasjonssikkerhet og internkontroll. 

Når systemer brukes til behandling av personopplysninger, stiller personvernforordningen krav til innebygd personvern og personvern som standardinnstilling.

Disse kravene gjelder for virksomheter i helsesektoren på lik linje som andre virksomheter, og kravet retter seg mot både behandlingsrettede helseregistre, andre helseregistre og systemer som benyttes i forskning.

I praksis innebærer innebygd personvern at personvern må hensyntas både ved utvikling og drift av systemer. Funksjoner som bidrar til å bedre personvernet skal etableres i den grad det er mulig. 

Systemer skal utformes slik at de registrertes rettigheter kan ivaretas. De registrertes tilgang til å få håndhevet sine rettigheter bør forenkles i den grad det er mulig. Et eksempel på hvordan dette kan gjøres er automatiske innsynsløsninger der en registrert kan logge inn og få direkte tilgang til opplysninger som oppbevares om vedkommende.

I følgende eksempel, illustreres praktiske konsekvenser av kravet til innebygd personvern for å ivareta de registrertes rettigheter:

Eksempel

Normland sykehus skal anskaffe et nytt kvalitetssystem, som gjør det lettere å drive med kvalitetsarbeid. Sykehuset må ha ekstern bistand til utviklingen, og oppdraget legges ut som en anbudskonkurranse.  

 

For å ivareta kravet til innebygd personvern, oppstiller sykehuset blant annet følgende krav i kravspesifikasjonen:

  • Det skal tas hensyn til personvern og sikkerhet gjennom hele utviklingsprosessen. Personvernet og sikkerhet skal hensyntas både under design, koding og test av systemet.

  • Sluttproduktet skal utformes slik at sykehuset gjøres i stand til å ivareta sine plikter etter personvernlovgivningen ved drift og bruk av systemet. Systemet skal oppfylle personvernprinsippene, og det skal ha funksjoner som gjør at sykehuset på effektivt vis kan ivareta de registrertes rettigheter. Sikkerheten i systemet skal være tilpasset det konkrete risikobildet.

  • Hvis det er mulig skal det legges til rette for innsynsportaler der pasienter kan få innsyn i personopplysninger sykehuset behandler om dem.

  • Systemet skal ha de mest personvernvennlige innstillingene som standardinnstilling.

  • Systemet skal ha risikodempende tiltak som er tilpasset det konkrete risikobildet.

  • De ansatte som utfører oppdraget, skal være godt kjent med kravene i personvernlovgivningen.

  • Leverandøren skal bistå sykehuset i arbeidet med risikovurderinger, personvernkonsekvensvurderinger, implementering av styringssystem for personvern og sikkerhet i systemet, samt tilpassing av rutiner for hendelseshåndtering.

  • Leverandøren skal bistå sykehuset med sikkerhetstesting når systemet tas i bruk.

 

Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 09. desember 2022